Перейти к основному содержанию

Утечки на миллиард

Родительский контроль security

Недавно мне написала одна англоязычная читательница по имени Аманда, которая интересуется информационной безопасностью. По-русски она читать может, пишет по-английски. Ничего страшного, нас в школе английскому учили. "Russia is a great country". И всё такое. Суть письма состояла в том, что было бы неплохо рассказать о том, какую опасность представляют утечки больших данных. В качестве примера Аманда прислала ссылку на один из отчётов ИБ по крупной утечке данных компании CVS Health в 2021 году.

Утечка CVS Health

Вполне возможно, конечно, что Аманда работает в PR отделе WebSitePlanet и ей просто нужно повысить цитирование своего ресурса... Или Аманда — это простенький бот, рассылающий нигерийский спам с просьбой добавить ссылку... Аманда, нам не жалко, вот ссылка:

https://www.websiteplanet.com/blog/cvs-health-leak-report

Тем более что последующая информация действительно поспособствует повышению экспы читателей.

I believe adding this information to your article will greatly contribute to educating your audience and promoting a safer online experience.

Сразу скажу, что утечка данных CVS Health не стоит и выеденного яйца. Но масштабы заставляют задуматься. Перейдём к сути. 21 марта 2021 года исследовательская группа WebsitePlanet в сотрудничестве со специалистом по ИБ Джереми Фаулером обнаружила не защищенную паролем базу данных, содержащую 1148327940 записей объёмом в 204,0 ГБ.

Больше миллиарда, Карл!

Горе-разработчики оставили в открытом доступе базу Кибаны, содержащую данные о корзинах покупателей и поисковых запросах пользователей CVS Health. Не самая чувствительная информация, и далеко не персональные данные, можно расслабиться. Однако, в БД было обнаружено много e-mail адресов. Хм, с чего бы это? Зачем в поисковой строке посетителям указывать свой e-mail? А вот здесь уже в полной мере раскрывается проблема юзабилити сайта. Вероятно, посетители думали, что они входят в свою учетную запись. На самом деле вводили свой адрес электронной почты в строку поиска или просто проверяли, есть ли на этом сайте их учётная запись.

security

Утечка данных CVS Health не раскрывает персональные данные клиентов и не может использоваться для криминальных целей. БД может представлять интерес для аналитиков больших данных. Здесь больше пострадала репутация компании. К тому же базу просто обнаружили в открытом доступе, не факт что она была скачана кем-нибудь. Если юзер вводит в строку поиска свой email или номер кредитной карты — сам дурак. Но тому кто не обезопасил доступ к данным нужно сделать атата! В профилактических целях.

Из этой утечки многие СМИ начали раздувать псевдо-скандалы. Им тоже нужно сделать атата! Только посмотрите на заголовки:

  • Выявлено более миллиарда медицинских карт CVS.
  • Кража базы данных из 1 млрд записей в результате хакерской атаки.
  • CVS hacked?

Утечка на миллиард у CVS Health не единственная.

Утечка Yahoo

В 2016 году Yahoo заявила, что в 2013 году были скомпрометированы данные с более чем 1 миллиарда учетных записей. А в 2017 году поступило уточнение, что все учетные записи пользователей были затронуты. А это все 3 миллиарда её учетных записей.

https://www.reuters.com/article/us-yahoo-cyber/yahoo-says-all-three-billion-accounts-hacked-in-2013-data-theft-idUSKCN1C82O1

Три миллиарда, Карл!

К злоумышленникам в руки попала информация об электронной почте, номерах телефонов и датах рождения пользователей. Компания заявила, что расследование показало, что украденная информация не включала пароли в открытом виде и данные платежных карт. Но, по словам экспертов, информация была защищена устаревшим, легко взламываемым шифрованием. В утёкших данных были также контрольные вопросы и резервные адреса электронной почты, что могло упростить взлом.

Непонятно почему в Yahoo молчали три года. Наверное, ждали когда все хэши паролей сбрутфорсят злые хакеры. Кстати, заголовки статей СМИ тоже ржачные:

  • Inside the Russian hack of Yahoo: How they did it
  • Yahoo Executives Detected a Hack Tied to Russia in 2014

Примечательно, что ещё в 2012 году стало известно о том, что группа хакеров взломала базу данных почтового сервиса Yahoo. В результате атаки скомпрометированными оказались учётные данные более 450 тысяч пользователей голосовой платформы ресурса. Злоумышленники разместили в сети тестовый документ, содержащий скомпрометированные данные и отметили, что использовали для взлома один из типов SQL инъекций, при помощи которого им удалось проникнуть в поддомен Yahoo.

https://www.securitylab.ru/news/426928.php

Утечка CDEK

В 2022 году было зафиксировано целых три утечки данных компании CDEK. В сеть попали имя, фамилия, имя пользователя, адрес электронной почты, номер телефона, Яндекс ID и другие данные клиентов компании. Суммарно утекло около 1.5 млрд строк.

Полтора миллиарда, Карл!

Утечка CDEK.Shopping и CDEK.Market

В базу не попали номера документов, удостоверяющих личность, и данные банковских карт клиентов. И я там был, мёд-пиво пил...

БД паролей

The New York Times в 2014 году пишет:

И снова отличились русские хакеры. Специалисты американской компании Hold Security, специализирующейся в области информационной безопасности, утверждают, что группе хакеров из России удалось составить крупнейшую в мире базу данных паролей интернет-пользователей объёмом 1.2 млрд строк.

Снова миллиард, Карл!

Записи, обнаруженные фирмой Hold Security, включают конфиденциальные материалы, собранные с 420000 сайтов, которые включают в себя как крупных интернет-магазинов, так и мелкие компании.

Почти миллиард, Карл!

У Ростелекома в 2021 году утекли данные сервиса "Умный дом".

https://t.me/dataleak/2636

В шести текстовых файлах суммарно содержится 712999 строк: ФИО, email-адрес, телефон, хешированный (bcrypt) пароль, IP-адрес, дата регистрации и последней активности.

Утечку в РТК связывают с историей о публикации данных сотрудников компании, а это ещё 109300 строк с ФИО, корпоративной электронной почтой, должностью, телефоном и прочими данными.

https://t.me/dataleak/2631

1000000000

Выводы

Здесь должен быть какой-то умный вывод о том, что количество утечек с каждым годом растёт. О том что ведётся постоянная борьба с утечками данных, компаниям приходится уплачивать штрафы за утечки персональных данных, не очень-то и крупные, к слову. Что информационной безопасности начинают уделять всё больше и больше внимания. Зарплаты безопасников растут, специалисты по ИБ востребованы как никогда. Программы и методы защиты от взломов тоже растут в качестве...

Нам, как конечным и самым страдающим от утечек данных пользователям, от этого ни горячо ни холодно. Если с утечкой персональных данных ещё можно как-то смириться, то с украденными данными банковских карт мириться сложнее. Лучше я продублирую в качестве заключения советы Как покупать в Интернете и не потерять деньги?

Работающие советы:

  • Не покупайте в Интернет-магазинах своей основной банковской картой. Для покупок в Интернете заведите дополнительную карту, лучше виртуальную, ещё лучше и ту и другую. Если данные вашей карты украдут, заблокируйте виртуальную карту и заведите новую.
  • Настройте лимиты на всех картах. Ограничьте на виртуальной карте максимальную сумму, которую можно потратить за день. Мошенники не смогут украсть за один раз больше этой суммы. И вы успеете заблокировать виртуальную карту.
  • Периодически меняйте виртуальную карту.
  • Не держите на виртуальной карте средств, пусть на ней будет нулевой баланс. Переводите на неё нужную сумму непосредственно перед покупкой.
  • При покупке указывайте только то, что изображено на карте.
  • Не пользуйтесь кредитными картами для покупок в Интернете, с них можно украсть больше денег, чем у вас есть. Будете и воров кормить, и банкам проценты отстёгивать, и бесплатно работать на кредит.
  • Если вы собираетесь часто что-то покупать в Интернет-магазине, то сделайте первую покупку на небольшую сумму. Или, если есть возможность, оплатите товар при получении. Дополнительной картой.
  • Не входите в Интернет-банк с чужих компьютеров.

Эти советы не спасут, если вы делаете оплату на сайте мошенников. Не помогут, если базу данных карт украдут в дырявом интернет-магазине. Но хотя бы вы не лишитесь всех денег на карте. Не останетесь сидеть дома с заблокированной картой без возможности вызвать такси, даже если на счету есть деньги.

Обобщаем:

  • Основная карте лежит дома под замком.
  • Дополнительная карта — для покупок в магазинах, ресторанах, транспорте и при оплате курьеру.
  • Виртуальная карта — для покупок в Интернет-магазине.

Удачных вам покупок в Интернете. И не держите яйца в одной корзине.

Теги

 

Похожие материалы

Supermicro — отключить поддержку USB 3.0

Отвечаю на вопрос, заданный Андреем в комментариях: Добрый день! подскажите пожалуйста как отключить в биосе поддержку юсб 3.0? Спрашиваете - отвечаем. Благо под рукой работающий сервер Supermicro.

Теги

Bitvise SSH Server для Windows

Bitvise SSH Server (WinSSHD) — SSH-сервер, разработанный специально для Windows. Позволяет на Windows машине организовать сервер Secure Shell Handling 2 (SSH2) и Secure FTP (SFTP). Отличается большим количеством настроек. Бесплатно для частного использования при выборе версии Personal Edition, но с ограничениями.

CTF — HTTP Directory indexing

Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTTP - Directory indexing". За решение задачки дают 15 баллов, чуть посложнее начального уровня.

Теги